Revisión bibliográfica de la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF)
No Thumbnail Available
Date
2024
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Universidad Santiago de Cali
Abstract
Since 2021, server-side request forgery or SSRF began to be registered as a risk to computer security in the top 10 vulnerabilities published by the Open Web Application Security Project or OWASP (2024). The SSRF is a Web security vulnerability that allows the attacker to access a server to make HTTP or other requests to resources internal or external to the network, without the knowledge or consent of the server or authorized users who, if applicable, exploited, threatens the security of information systems, networks and data against unauthorized access, use, disclosure, interruption, modification or destruction. In that sense, literature aimed at computer security has addressed the vulnerabilities of the OWASP Top 10:2021, but in a general way, and the texts that refer to SSRF focus on making recommendations to prevent it. Therefore, the objective of this literature review is to synthesize what is known about the SSRF vulnerability; In that sense, it was proposed to succinctly address the scope of computer security, what SSRF consists of, and how it is prevented. The methodology corresponds to a systemic review of documents on the SSRF based on the OWASP 2021 report. The results indicate that attackers take advantage of failures and validation of URLs and the lack of control over the requests made by the server to exploit the SSRF. In this situation, to ensure the protection of information, it is important to identify and correct SSRF vulnerabilities through appropriate security practices.
Description
Desde el año 2021, en el top 10 de vulnerabilidades publicado por el Open Web Application Security Project u OWASP (2024) empezó a registrarse la falsificación de solicitudes del lado del servidor o SSRF como un riesgo para la seguridad informática. La SSRF es una vulnerabilidad de seguridad Web que permite al atacante acceder a un servidor para que realice peticiones HTTP o de otro tipo hacia recursos internos o externos a la red, sin el conocimiento ni consentimiento del servidor ni de los usuarios autorizados que, de ser explotada, atenta contra la seguridad de los sistemas de información, las redes y los datos contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados. En ese sentido, la literatura orientada a la seguridad informática ha abordado las vulnerabilidades del Top 10:2021 del OWASP, pero de manera general, y los textos que se refieren a la SSRF se centran en plantear recomendaciones para prevenirla. Por lo tanto, el objetivo de esta revisión bibliográfica es sintetizar qué se conoce de la vulnerabilidad SSRF; en ese sentido, se propuso abordar de manera sucinta el alcance de la seguridad informática, en qué consiste la SSRF, y cómo se previene. La metodología corresponde a una revisión sistémica de documentos sobre la SSRF a partir del informe OWASP 2021. Los resultados indican que los atacantes se aprovechan de los fallos y validación de URLs y de la falta de control sobre las peticiones realizadas por el servidor para explotar la SSRF. Ante esta situación, para garantizar la protección de la información es importante identificar y corregir las vulnerabilidades SSRF mediante prácticas de seguridad adecuadas
Keywords
Falsificación de solicitudes del lado del servidor, SSRF, Seguridad informática, OWASP 2021, Prevención de SSRF
Citation
Morales, R. D. G. (2024). Revisión bibliográfica de la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Universidad Santiago de Cali.